Verschiebung von VM in ActiveDirectory OU scheitert

Eine der Stärken von VDI Lösungen ist die schnelle Bereitstellung von VMs und deren automatische Registrierung im ActiveDirectory. Der hier beschriebene Fall bezieht sich auf ZeroClient VMs (ehemals Panologic), trifft aber auch auf andere Lösungen wie VMware Horizon View, oder Citrix XenDesktop zu.

Autodeployment

Erstellt man VMs mittels Autodeploy, kann man diese dabei in eine entsprechende OU des Active-Directory verschieben lassen. Im Fall einer Panologic Umgebung funktionierte dies lange Zeit problemlos. Nach Neugestaltung der OU wurden VMs aber nicht mehr in der richtigen OU abgelegt, sondern landeten in der OU “Computers”. Grund hierfür waren fehlende Rechte auf die OU für das Dienstkonto, welches die Verteilung erledigt.

PanoOUPermission01Folgende Rechte müssen gesetzt werden:

PanoOUPermission02Wird die Verteilung im Kontext des Domänen Admins ausgeführt (nicht empfohlen), so tritt das Problen natürlich nicht zu Tage. Hier wurde korrekterweise ein eigenständiges Dienstkonto für den Panomanager verwendet. Dieses hatte aber keine Berechtigung zur Objekterstellung in der Ziel-OU.

ZeroClient: Warnmeldung beim Einschalten

Beim Einschalten eines Zeroclients erscheint häufig die Meldung, daß die Sitzung unerwartet getrennt wurde. Das ist für den Anwender verwirrend, da dieser sehr wahrscheinlich seine Sitzung ordentlich getrennt hatte.

Man kann diese Meldung verhindern, indem man am ZeroClient Controller (ZCC) eine kleine Änderung vornimmt.

Es muss ein Parameter in der server.xml verändert werden.

/opt/atto/broker/conf/server.xml
<Parameter name="trueclient.show.orphan.message" value="false">

(Default Value “true”)

 

ZeroClient: Firewall Regeln für DirectService im Domänenprofil

Einer meiner letzten Artikel beschäftigte sich mit der Abschaltung der Windows Firewall im Domänenprofil bei der Ableitung von der VM Vorlage. Die Abschaltung ist nicht unbedingt die Methode der Wahl, wenn im Unternehmen entsprechende Sicherheitsvorgaben festgelegt sind. In gleicher Weise lassen sich aber gezielt Firewall Ports öffnen. „ZeroClient: Firewall Regeln für DirectService im Domänenprofil“ weiterlesen